2021-2013: Rust: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-09-27 18:14)

Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in Wasmtime lokal ausnutzen, um beliebigen Programmcode auszuführen, Dateien zu manipulieren, einen Denial-of-Service (DoS)-Angriff und möglicherweise weitere Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Für Fedora 34 steht ein Sicherheitsupdate im Status 'testing' zur Behebung der Schwachstellen bereit. Wasmtime wird damit auf Version 0.30.0 aktualisiert. Außerdem werden cranelift crates auf Version 0.77.0, wast crate auf Version 38.0.0, wat crate auf Version 1.0.40, wasmparser crate auf Version 0.80.1, backtrace crate auf Version 0.3.61, addr2line crate auf Version 0.16.0, object crate auf Version 0.26.2 und gimli crate auf Version 0.25.0 aktualisiert.

Schwachstellen:

CVE-2021-39216

Schwachstelle in Wasmtime ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-39218

Schwachstelle in Wasmtime ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-39219

Schwachstelle in Wasmtime ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.